Firewall Configuration

[Nikolaos Dionysopoulos]

Βασιλειου Σπυρος wrote:
> Χαιρετε προς ολους.
> 
> Εχω μια περιπτωση ενος δικτυου στην οποια χρειαζομαι ολιγον
> την βοηθεια σας διοτι δεν εχω ψαξει τα ipcahins.
> 
> Ειναι μια μικρη εταιρεια με ενα linux box στο οποιο τρεχει
> Slackware 7.1 (kernel 2.0.26 αν θυμαμαι καλα).
> 

Κατ'αρχήν θα ήταν ΠΟΛΥ καλή ιδέα να αναβαθμίσεις το μηχάνημα (για να 
έχει IPTABLES και να μην είναι ευάλωτο σε security holes ενός τόσο πολύ 
παλιού πυρήνα)

> Εχουμε 2 καρτες δικτυου στην eth0 εχουμε ΙΡ απο Internet
> (194.χχχ.χχχ.χχχ για λογους ασφαλειας δεν κανει να το πω)
> και στην eth0 εχουμε το εσωτερικο δικτυο απο 25 συστηματα
> με ΙΡ 192.168.10.χχχ.
> 
> 
> Το λινουξακι τρεχει τον DNS, Mail, FTP, WWW server της εταιρειας.
> Μεχρι στιγμης χρησιμοποιουσα πολυ βασικη προστασια (ο θεος να
> την κανει προστασια!) με τα εξης:
> 
> /sbin/ipchains -F
> /sbin/ipchains -P forward DENY
> /sbin/ipchains -A forward -b -s 192.168.0.0/24  -d 0.0.0.0/0  -j MASQ
> 
> και το ipchains -L μου εδινε
> 
> Chain input (policy ACCEPT):
> Chain forward (policy DENY):
> target     prot opt     source                destination           ports
> MASQ       all  ------  coin.gr/24           anywhere              n/a
> MASQ       all  ------  anywhere             coin.gr/24            n/a
> Chain output (policy ACCEPT):
> 
> Ομως η διοικηση θελει πλεον τα εξης
> 1) Ολα τα συστηματα να εχουν προσβαση στον mail & ftp server

Ο εν λόγω server είναι στο εσωτερικό δίκτυο, σωστά; Άρα δεν πρέπει να 
κόβεις τα ports αυτά από το εσωτερικό δίκτυο.

> 2) Κανενα συστηματα να μην εχει προσβαση σε HOTMAIL & MSN
> 3) Κανενα συστημα να μην βλεπει www και συναφεις σελιδες (πχ
>    χρηματηστηριο απο in.gr) με εξαιρεση ορισμενα PC (μαντεψτε ποια!)

Αυτό δεν θα το κάνεις με ipchains/iptables. Η υπόθεση ότι όλοι οι 
servers τρέχουν στην port 80 είναι πολλές φορές εσφαλμένη. Καλύτερα 
χρησιμοποίησε transparent proxy με το squid (υπάρχει σχετικό how-to στο 
LDP).

> 4) Χρειαζομαι Τelnet εγω απο ολα τα εσωτερικα PC και 1 ΙΡ απο εξωτερικο
>    δικτυο.
> 

Αυτό θα το κάνεις παίζοντας με το config file του δαίμονα telnet που 
χρησιμοποιείς.

> Ξεκινησα να γραφω γραμμες με τα IPCHAINS αλλα ματαιως. Σας δινω ενα
> παραδειγμα
> που δεν λειτουργει!!!
> 
> #!/bin/sh
> #
> # /etc/rc.d/rc.firewall:  Local system firewall script.
> #
> #
> /sbin/ipchains -F
> /sbin/ipchains -P forward DENY
> /sbin/ipchains -A forward -b -p tcp -s 192.168.0.0/24 53 -d 0.0.0.0/0 53 -j
> MASQ
> /sbin/ipchains -A forward -b -p udp -s 192.168.0.0/24 53 -d 0.0.0.0/0 53 -j
> MASQ
> 
> /sbin/ipchains -A forward -b -p tcp -s 192.168.0.0/24 pop3 -d 0.0.0.0/0
> pop3 -j MASQ
> /sbin/ipchains -A forward -b -p udp -s 192.168.0.0/24 pop3 -d 0.0.0.0/0
> pop3 -j MASQ
> 
> /sbin/ipchains -A forward -b -p tcp -s 192.168.0.0/24 pop2 -d 0.0.0.0/0
> pop2 -j MASQ
> /sbin/ipchains -A forward -b -p udp -s 192.168.0.0/24 pop2 -d 0.0.0.0/0
> pop2 -j MASQ
> 
> Στο παραδειγμα προσπαθω να δωσω σε ολα τα PC διελευση στο DNS και στα
> POP3/POP2 για
> ληψη e-mail αλλα ματαιως.
> 

Χωρίς να είμαι 100% σίγουρος... αφού ο server είναι στο εσωτερικό 
δίκτυο, το MASQ τι το θες; Αυτό νομίζω ότι χρειάζεται όταν κάνεις 
forward πακέτα στο (εξωτερικό) Internet, για να μην υπάρχει πακέτο με 
αποστολέα 192.168.10.χχχ και δεν φτάσει ποτέ απάντηση στο PC απ'το οποίο 
προήλθε.

> Μπορειτε να μου δωσετε μερικα παραδειγματα?
> Εχω διαβασει αρκετα πραγματα με τα ipchains αλλα μου φαινεται οτι καπου,
> κατι
> μπερδευω.
> 

Καλύτερα να το γυρίσεις σε iptables. Τα περισσότερα how-to στο LDP έχουν 
προσαρμοστεί σε αυτά. Δεν ξέρω να σε βοηθήσω περισσότερο (τώρα μαθαίνω 
κι εγώ για δίκτυα στήνοντας ένα στο σπίτι μου), αλλά τα how-to's είναι 
ανεκτίμητη βοήθεια σε τέτοιες καταστάσεις.

> Φιλικα
> Σπυρος
> 
> 

Φιλικά,
-- 
Nikolaos Dionysopoulos
Student of Mechanical Engineering @ AUTh, Greece
E-Mail : nikosdion at yahoo.gr - Web : http://www.sledge81.cjb.net